Über 600 CVEs: Microsofts Patchday als Menetekel der "Bug-Apokalypse"
Der beim letzten Patchday von Microsoft aufgestellte Rekord von 206 CVEs dürfte mit der aktuellen Ausgabe rund verdreifacht werden. Ein allzu deutliches Zeichen für den Einfluss der Frontier-Modelle auf die Schwachstellenanalyse, mit dem das Abwehrmodell "KI gegen Mensch" an sein Ende gekommen ist, wie es der Chef eines MSP formuliert.
Als Microsoft bei seinem letzten Patch Day im Juni 206 CVEs (Common Vulnerabilities and Exposures) veröffentlichte und flickte, bedeutete das einen neuen Rekord, der zugleich das Heraufziehen eines neuen Zeitalters bei der Entdeckung und Analyse von Softwareschwachstellen durch die neuen Frontier-Modelle wie Anthropics Claude Mythos ankündigte. Einen Monat später liefert der heutige Juli-Patch-Day nun ein eindrückliches Signal dafür, wie schnell diese Entwicklung voranschreitet, indem er den neuen Rekord mit mehr als der dreifachen Anzahl CVEs direkt wieder pulverisiert. Dustin Childs, Leiter Threat Awareness bei TrendAI, hat mit dem Patch-Paket Sicherheitsupdates für insgesamt 621 neue Microsoft-CVEs gezählt.
In seinem Blogpost konstatierte er angesichts dieses massiven Anstiegs: "Die Bug-Apokalypse ist nun endgültig über uns hereingebrochen." Dass das nur halb augenzwinkernd gemeint war, zeigt sich beim Vergleich mit früheren Patch-Day-Paketen, die nur äußerst selten einmal 100 CVEs oder mehr abdeckten, bis die Zahl im April nach der Veröffentlichung von Claude Mythos auf 163 CVEs hochschoss. Somit hat sich das Schwachstellenaufkommen in den letzten Monaten gegenüber dem bisherigen Durchschnitt beinahe verzehnfacht. Und das alles nicht etwa, weil sich die Softwarequalität verschlechtert hätte, sondern allein dadurch, dass Microsoft sowohl Anthropics Modell Claude Mythos im Rahmen des Project Glasswing nutzt, um Schwachstellen im eigenen Code zu entdecken, als auch die von Open AI mit der Initiative Trusted Access for Cyber bereitgestellten Modelle.
Und es spricht einiges dafür, dass das eher das neue Normal werden könnte, als dass es ein einmaliger Ausreißer ist. Childs nennt hier unter anderem, die "erstaunliche" Zahl der betroffenen Microsoft-Produkte. Drehten sich frühere Patch-Days vorwiegend um die am weitesten verbreiteten Windows, Office sowie einige Server- und Business-Produkte, deckt die KI nun Schwachstellen quer durch das gesamte Portfolio auf. Dabei sind dem Experten zufolge 63 der Schwachstellen als "kritisch" eingestuft, womit alleine solche schweren Lücken eine Dimension erreicht haben, die an den Gesamtumfang bisheriger Patch-Pakete heranreicht. Immerhin, so merkt Childs an, habe man bisher nur bei zwei dieser kritischen Schwachstellen beobachtet, dass sie bereits ausgenutzt werden.
IT-Dienstleister unter Hochdruck
So gut es für die Softwaresicherheit ist, dass diese Lücken entdeckt und geschlossen werden, und dass das zumindest derzeit zumeist noch gelingt, bevor auch Cyberkriminelle sie entdecken, so sehr stellt es zugleich Systemhäuser, Dienstleister und Anwender vor eine gewaltige Herausforderung. Denn sie sind es, die diese gewaltige Zahl an Patches abarbeiten müssen, um die Sicherheit aufrecht zu erhalten. Und das unter zunehmendem Zeitdruck, da es die KI auch den Angreifern ermöglicht, entsprechende Lücken immer schneller zu analysieren und sie zunehmend automatisiert auszunutzen. Um das zu bewältigen, sind sie selbst auf die Unterstützung der KI angewiesen.
Eine Entwicklung, die auch die Verantwortlichen mehrerer Systemhäuser und MSPs gegenüber CRN in einer ersten Reaktion auf den neuen Patch-Rekord bestätigen. "Ohne Frage wird dies durch die breitere Verfügbarkeit leistungsfähigerer Modelle vorangetrieben", fasste etwa Travis Woods, Strategic Executive Advisor beim kalifornischen MSP Fort Point IT die Ausgangslage zusammen und konstatiert: "Das beschleunigt offensichtlich die defensive Haltung, die Unternehmen einnehmen müssen. Und es ist KI gegen KI. Denn KI gegen Mensch ist vorbei."
Um sich auf diese neuen Zeiten und Geschwindigkeiten einzustellen, müssen Dienstleister und Unternehmen ihre Arbeitsweise und Prozesse neu denken. "Das verändert grundlegend, wie wir an Patching und Sicherheit herangehen", bestätigte Woods. Im ersten Schritt wird es für die Sicherheitsverantwortlichen immer wichtiger, die Schwachstellen genauso schnell wie zuverlässig zu priorisieren. Doch dafür reichen die althergebrachten Mittel und auch Kriterien nicht mehr aus, erläutert Woods: "Die Priorität einer CVE reicht nicht aus, um fundiert zu entscheiden, was zuerst gepatcht wird." Nach seinem Dafürhalten werden MSPs, Dienstleister und Anwender stattdessen künftig "mehr ergänzende Daten heranziehen müssen, um besser priorisieren zu können, was zuerst kommt".
Mut zur Lücke: Patchen im Blindflug
Auch Zack Finstad, Vice President of Cybersecurity beim Lösungsanbieter Logically, sieht in einer solchen relevanzbasierten Priorisierung eine der aktuell wichtigsten Aufgaben. Unstrittig ist, dass dabei zuallererst jene Schwachstellen geflickt werden müssen, die bereits aktiv ausgenutzt werden. Für alle weiteren schlägt er eine individuelle Bewertung vor, die sich neben der grundsätzlichen Kritikalität vor allem danach richtet, welche Risiken die CVEs in der jeweiligen Umgebung konkret darstellen.
Eine Aufgabe, die aus seiner Sicht trotz der zunehmenden Hilfe von KI im Cybersecurity-Bereich kaum zu stemmen ist. Er geht deshalb davon aus, dass sich Unternehmen künftig darauf einstellen müssen, dass gerade die weniger hoch priorisierten Schwachstellen künftig erst mit etwas zeitlichem Verzug geschlossen werden können. Hinsichtlich dieser weniger hoch priorisierten Patches werde es für viele Unternehmen und MSPs somit entscheidend sein, "wie man das Risiko bewertet, das damit verbunden ist, [CVEs] nicht sofort zu behandeln", erklärte er. Eine Aussicht, die vielen Sicherheitsverantwortlichen und auch Dienstleistern wenig gefallen dürfte, sowohl aufgrund der Befürchtung, dass Cyberkriminelle dies schnell und gezielt ausnutzen könnten, als auch aufgrund damit verbundener Fragen des Service-Levels und der Haftung.
Doch damit nicht genug, erwartet Finstad eine ähnliche Entwicklung auch in anderen Bereichen der Patch-Abarbeitung. Er erwartet, dass auch beim Rollout künftig der Mut zur Lücke zum Standard werden könnte, wenn Unternehmen und ihre Dienstleister dazu gezwungen werden, Testmaßnahmen vor dem Rollout zusammenzustreichen, um so die Geschwindigkeit zu erhöhen. "Möglicherweise haben wir nicht mehr die Zeit für die Sorgfalt, die wir bisher immer aufgebracht haben – also Tests und Validierungen auf unseren eigenen Systemen und in unseren Laboren, bevor wir bei Kunden ausrollen", so Finstad. "Vielleicht müssen wir einfach die Zähne zusammenbeißen, patchen und im Anschluss mit den Folgen klarkommen, die dadurch entstehen."
Trügerische Ruhe vor dem KI-gestützten Cyber-Sturm
Trotz dieser wenig erbaulichen Aussichten findet auch er in der aktuellen Patch-Welle eine positive Botschaft – zumindest für den Moment: Er wertet die trotz des massiven Anstiegs der durch die KI aufgedeckten CVEs noch immer sehr geringe Zahl an bereits als aktiv ausgenutzt bekannten Lücken als Signal, dass die Branche derzeit noch keinen unmittelbaren Anstieg von Angriffen zu bewältigen hat. Die meisten Expoerten gehen jedoch davon aus, dass das nur die sprichwörtliche Ruhe vor dem Sturm ist, bevor die neuen Möglichkeiten der Schwachstellenanalyse mit etwas Zeitversatz auch bei den Cyberkriminellen ankommen und entsprechende Angriffswellen auslösen.
Das glaubt auch Finstad und stellt die damit verbundene Frage, die derzeit die gesamte Security-Branche beschäftigt: "Wie schützen wir uns vor der Fähigkeit von Bedrohungsakteuren, die Werkzeuge zu nutzen, auf die auch wir Zugriff haben?" Aus seiner Sicht wird das den Druck auf Dienstleister weiter erhöhen, sich in allen Bereichen auf Prioritäten zu konzentrieren. Dem pflichtet auch Woods von Fort Point IT bei. Er geht davon aus, dass es deshalb beim Patching immer weniger darum gehen wird, eine monatliche Liste von Schwachstellen abzuarbeiten, sondern zunehmend darum, kontinuierlich zu bestimmen, welche Risiken für den jeweiligen Kunden am wichtigsten sind. Denn trotz aller Fortschritte in der Abwehrtechnik wie automatisierten Triage-Verfahren "können wir nach wie vor nur eine begrenzte Menge patchen", während der Berg unablässig weiter wächst, wie der heutige Patch Tuesday eindrucksvoll beweist.
Für Teile dieses Artikels haben wir Material unseres geschätzten US-Kollegen Kyle Alspach von crn.com verwendet.
CRN-Newsletter beziehen und Archiv nutzen - kostenlos: Jetzt bei der CRN Community anmelden